Juridische vraag: Vanwege zorgen over wachtwoord-delen heb ik mijn werknemers nieuwe laptops gegeven, waarbij ze met hun vingerafdruk de laptop kunnen unlocken en alleen toegang krijgen tot die delen van ons systeem die voor hen relevant zijn. Ik krijg nu klachten dat ik hiermee de AVG schend omdat ik met deze nieuwe aanpak ongeoorloofd biometrische gegevens van hen op zou slaan. Hebben ze daar een punt?

Antwoord: Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Hier is precies sprake van dat geval. Met de vingerafdruk wordt de gebruiker geauthenticeerd. De vingerafdruk gaat nergens naar toe, maar blijft in de laptop. Dat is dus een keurige implementatie die aan de beveiligingseisen van de AVG voldoet.

Het probleem is dan of het ‘noodzakelijk’ is in de zin van artikel 29. Hierover staat een passage in de memorie van toelichting bij de invoering van dit wetsartikel, die regelmatig discussie oproept:

Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

Uit dat “zoals bij een kerncentrale” wordt vaak afgeleid dat de lat dus heel hoog ligt, want wie is er nou vergelijkbaar met een kerncentrale. De Autoriteit Persoonsgegevens zegt dat het “moet gaan om een zwaarwegend algemeen belang”, een uitzonderlijke situatie. De gemiddelde mkb-organisatie komt daar niet aan.

Deze versturen we 3-4x per jaar.